GitHub telah mengumumkan bahwa layanan peringatan pemindaian rahasianya sekarang tersedia secara umum untuk semua repositori publik dan dapat diaktifkan untuk mendeteksi rahasia yang bocor di seluruh riwayat penerbitan.
Rahasia adalah data sensitif yang ditambahkan secara tidak sengaja ke repositori GitHub, termasuk kunci API, kata sandi akun, token autentikasi, dan data rahasia lainnya yang memungkinkan penyerang melakukan pelanggaran keamanan atau mendapatkan akses ke data non-publik.
Pelaku ancaman biasanya mencari rahasia autentikasi di repositori GitHub publik untuk menembus jaringan, mencuri data, atau menyamar sebagai perusahaan dalam serangan mereka sendiri.
Pada Desember 2022, GitHub mulai meluncurkan versi beta dari fitur pemindaian rahasia gratis ke semua repositori publik yang memindai 200+ format token untuk membantu pengembang menemukan paparan publik yang tidak disengaja atas data sensitif. Sejak saat itu, 70.000 repositori publik telah mengaktifkan fitur baru tersebut.
Hari ini, GitHub mengumumkan bahwa layanan ini sekarang tersedia secara umum, dan semua pemilik/admin repositori publik dapat mengaktifkan peringatan pemindaian rahasia untuk mengamankan data mereka.
“Sampai hari ini, pengalaman peringatan pemindaian rahasia GitHub tersedia secara umum dan gratis untuk semua repositori publik,” baca Pengumuman GitHub.
“Anda dapat mengaktifkan peringatan pemindaian rahasia di semua repositori yang Anda miliki untuk memberi tahu Anda tentang rahasia yang bocor di seluruh riwayat repositori lengkap Anda, termasuk kode, masalah, deskripsi, dan komentar.”
Selain memberi tahu pemilik repositori tentang insiden rahasia yang bocor, GitHub akan terus memberi tahu lebih dari 100 mitra pemindaian rahasia rahasia yang terbuka sehingga mereka dapat mencabut token autentikasi dan memberi tahu pelanggan mereka.
Jika mitra terkait tidak dapat dihubungi, peringatan kepada admin harus cukup untuk memastikan rahasia yang terungkap dihapus dari repositori publik.
Platform hosting kode menggunakan contoh Konsultan dan Pelatih DevOps @rajbos untuk menyoroti kekuatan pemindai dan peringatan rahasia. Pengembang mengatakan dia mengaktifkan fitur di 13.954 repositori GitHub Action publik dan menemukan rahasia di 1110 dari mereka (7,9%).
“Meskipun saya melatih banyak orang untuk menggunakan GitHub Advanced Security, saya menemukan rahasia di repositori saya sendiri melalui ini,” Rob Bos mengakui.
“Meskipun pengalaman bertahun-tahun, itu juga terjadi pada diriku sendiri. Betapa mudahnya memasukkan rahasia secara tidak sengaja.”
Setiap pengguna GitHub yang mengelola repositori publik dapat dengan mudah mengaktifkan peringatan pemindaian rahasia dengan membuka “Pengaturan” tab, klik “Keamanan dan analisis kode” di bawah bagian Keamanan, lalu klik “Memungkinkan” pada “Pemindaian Rahasia” di bagian bawah halaman.
Periksa dokumentasi GitHub untuk informasi selengkapnya tentang cara kerja pemindaian rahasia dan cara memanfaatkan fitur baru secara maksimal.
